Chuyển đến nội dung chính

Bảo mật

Không bao giờ để lộ khóa API trong mã phía client, kho lưu trữ công khai hoặc nhật ký ứng dụng.
  • Lưu trữ khóa API trong trình quản lý bí mật — Sử dụng AWS Secrets Manager, HashiCorp Vault hoặc giải pháp bí mật của nền tảng. Tránh tệp .env trong production.
  • Xoay khóa mỗi 90 ngày — Đặt lời nhắc định kỳ. Xem Khóa API để biết hướng dẫn xoay khóa.
  • Sử dụng khóa riêng biệt cho mỗi môi trường — Không bao giờ chia sẻ khóa giữa development, staging và production.
  • Bật danh sách IP cho phép — Trên gói Growth và Enterprise, hạn chế truy cập API từ các IP server đã biết.
  • Sử dụng sandbox cho thử nghiệm — Không bao giờ thử nghiệm với khóa production hoặc quỹ thực.

Cấu hình Chính sách

Bắt đầu với các chính sách hạn chế nhất có thể và dần dần nới lỏng khi bạn có thêm tin tưởng vào hành vi của tác nhân.

Chính sách Khởi đầu Khuyến nghị

await aw.policies.update("agent_abc123", {
  // Start with low limits
  maxTransactionAmount: "100",
  dailyLimit: "1000",
  monthlyLimit: "10000",

  // Whitelist trusted addresses only
  allowedAddresses: ["0xTrustedVendor1", "0xTrustedVendor2"],

  // Restrict to stablecoins
  allowedTokens: ["USDC"],

  // Prevent runaway loops
  velocityLimit: {
    maxCount: 50,
    windowSeconds: 3600,
  },

  // Human review for larger amounts
  requireHumanApproval: true,
  humanApprovalThreshold: "500",
});

Mẹo Chính sách

  • Sử dụng allowedAddresses — Danh sách trắng an toàn hơn danh sách đen.
  • Thiết lập giới hạn tốc độ — Ngăn tác nhân rơi vào vòng lặp giao dịch vô hạn.
  • Bật phê duyệt con người — Cho số tiền trên ngưỡng có ý nghĩa.
  • Xem xét hàng tuần — Điều chỉnh chính sách khi mẫu hành vi tác nhân trở nên rõ ràng.
  • Sử dụng mẫu — Tạo mẫu có thể tái sử dụng cho các cấu hình phổ biến.

Giám sát

Đăng ký Sự kiện Chính

await aw.webhooks.create({
  url: "https://your-app.com/webhooks",
  events: [
    "payment.completed",
    "payment.failed",
    "policy.violated",
    "agent.frozen",
  ],
});

Nên Giám sát Gì

Chỉ sốLý do
Vi phạm chính sáchCho biết tác nhân bị cấu hình sai hoặc hành vi bất thường
Giao dịch thất bạiCó thể cho biết thiếu quỹ hoặc vấn đề chuỗi
Sự kiện đóng băngĐược kích hoạt bởi phát hiện bất thường hoặc hành động thủ công
Chi tiêu hàng ngày theo tác nhânPhát hiện sớm vượt ngân sách
Tỷ lệ lỗi APIPhát hiện vấn đề tích hợp
Lỗi giao hàng webhookĐảm bảo trình xử lý hoạt động tốt

Nhật ký Kiểm toán

Xem xét nhật ký kiểm toán thường xuyên để phát hiện hoạt động bất thường: 
curl -X GET "https://api.agentwallex.com/api/v1/audit-logs?page_num=1&page_size=50" \
  -H "X-API-Key: awx_your_api_key"

Danh sách Kiểm tra Sẵn sàng Production

Sử dụng danh sách kiểm tra này trước khi đưa vào hoạt động:
  • Khóa API — Khóa production đã tạo và lưu trữ trong trình quản lý bí mật
  • Môi trường — SDK khởi tạo với environment: "production"
  • Chính sách đã cấu hình — Giới hạn chi tiêu theo tác nhân, danh sách địa chỉ cho phép và kiểm soát tốc độ
  • Phê duyệt con người — Đã bật cho giao dịch giá trị cao với ngưỡng phù hợp
  • Webhook đã đăng ký — Trình xử lý đã triển khai cho payment.completed, payment.failedpolicy.violated
  • Chữ ký webhook đã xác minh — Trình xử lý xác thực X-AgentWallex-Signature trên mỗi lần giao hàng
  • Xử lý lỗi — Lỗi SDK được bắt và ghi nhật ký với logic thử lại cho lỗi tạm thời
  • Giám sát — Cảnh báo đã thiết lập cho vi phạm chính sách, giao dịch thất bại và sự kiện đóng băng
  • Truy cập nhật ký kiểm toán — Thành viên nhóm có thể xem nhật ký kiểm toán trong dashboard
  • Quy trình khẩn cấp — Đã ghi lại cách đóng băng tác nhân và ai có thẩm quyền
  • Lịch xoay khóa — Đã đặt lời nhắc lịch cho xoay khóa 90 ngày
  • Thử nghiệm sandbox — Tất cả luồng đã thử nghiệm end-to-end trên testnet trước khi chuyển sang production
  • Nạp tiền ví — Ví production đã nạp đủ số dư cho khối lượng giao dịch dự kiến
  • Giới hạn tốc độ đã hiểu — Ứng dụng xử lý phản hồi 429 với backoff theo cấp số nhân
Đội ngũ AgentWallex sẵn sàng xem xét tích hợp của bạn trước khi đưa vào hoạt động. Liên hệ support@agentwallex.com để được xem xét trước khi ra mắt.